Il faut s’interroger pour chaque traitement sur la (ou les) bases légales parmi les différentes bases légales possibles susceptibles de fonder le traitement. Le choix de la base légale du traitement est important car :
- elle conditionne l’exercice de certains droits des personnes concernées ;
- elle fait partie des mentions obligatoires à faire figurer dans les notices d’information.
Les différentes bases légales
Pour être licite, un traitement doit répondre à au moins l’une des conditions suivantes :
- la personne concernée a consenti au traitement de ses données pour une ou plusieurs finalités spécifiques ;
- le traitement est nécessaire à l’exécution de mesures contractuelles ou précontractuelles prises à sa demande ;
- le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
- le traitement est nécessaire à la sauvegarde de la vie de la personne concernée ou d’une autre personne ;
- le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique dont est investi le responsable du traitement ;
- le traitement est nécessaire aux fins des intérêts légitimes poursuivies par le responsable du traitement ou par des tiers, à moins que ne prévalent les intérêts et les libertés et droits fondamentaux de la personne concernée.
Quelle base légale pour les recherches en santé
L’Inserm, établissement public à caractère scientifique et technologue, a pour missions d’améliorer la santé de la population par le progrès des connaissances sur le vivant et sur les maladies, l’innovation dans les traitements et la recherche en santé publique (décret n°83 – 975 du 10 novembre 1983 modifié);
Le fondement juridique du traitement de données applicable aux recherches menées par l’Inserm est l’exécution d’une mission d’intérêt public dont est investi le responsable de traitement (RGPD, art. 6.1.e).
S’agissant de la recherche en santé, l’Inserm doit également justifier de l’exception permettant le traitement de données sensibles (données de santé) fondée sur les nécessités de la recherche scientifique qui devra être ajoutée à la base légale (RGPD, art. 9.2.j) – cf. Les catégories particulières de données.
Pour un modèle de mention, voir le guide pratique « Comment rendre une note d’information à destination des participants à une recherche en santé conforme au RGPD ? »
Point de vigilance quant au choix du consentement de la personne comme base légale du traitement
Attention à ne pas confondre le consentement à la participation à la recherche qui peut être requis en raison de la qualification réglementaire de la recherche et le consentement au traitement des données, retenu comme base légale d’un traitement. Le consentement de la personne peut être requis dans le cadre d’une recherche en santé sans constituer pour autant la base légale du traitement. Il est recommandé de ne faire du consentement au traitement des données la base légale du traitement dans le cadre d’une recherche qu’à défaut de toute autre base légale, compte tenu de l’impact du choix de ce fondement sur la suite du projet :
- le consentement comme base légale du traitement, obéit à des conditions très strictes : il doit être libre, spécifique, explicite, éclairé et facilement révocable) et devra être renouvelé à intervalles réguliers ;
- le droit à la portabilité sera alors applicable.